演讲主题：构建安全通信网络，支撑通信业创新变革

演讲内容：中国联通上海分公司增值业务部副经理　李兵

今天下午很高兴在这里地方可以跟大家交流和沟通一下我们在系统安全方面的一些具体的工作的内容。
我们感觉，我个人感觉，这次组委会提供的这个主题非常符合现阶段通信行业的这个特征。所以呢我也借用了这个大会的这个主题作为我的演讲的题目，我演讲的题目大家已经看到了，是叫做构建安全通信网络，支撑通信业创新变革。

网络信息安全的必要性我想大家可能都体会得比较深刻，我在这里总结了一下这四条。一个是运营商战略转型的一个需要，一个是行业信息化的需要和大众市场信息服务的需要，以及抵御不法商业行为的一些需要。

那么大家都知道的就是现阶段各个运营商都提出来一些战略转型的需要，中国移动提出来了他要做移动信息专家，而中国电信是要由一个基础的运营商向综合性信息服务提供商来转型，而我们中国联通的转型目标是提供综合的通信与信息服务的提供商，那么可以看得出来向综合信息服务商的转型，已经成为电信业的这样的一个共识。那么实际上是向综合信息服务提供商，你要做好这样的一个角色，网络信息安全这是首要要解决的一个问题，或者说你必须满足的这个基本的条件。

近几年来我国经历了一个信息化建设的萌动，信息应用环境也逐步地走向成熟，在国家信息化战略的推动下，行业集团的应用已经认识到这个信息应用的一个重要性，它们都想建设一个安全、稳定、综合化、专业化信息服务的系统，而且我觉得，就是行业信息服务系统已经成为提高各个企业核心竞争力的一个强有力的手段。但是他们首先要考虑的一个问题就是网络信息安全，在我们平时的工作中间接触比较多的一些就是说是，我们碰到几乎所有的行业来向我们运营商提出他要做这种和我们移动运营商相结合的行业信息服务的时候呢，他首先要求我们帮助他们解决的就是一个安全问题。只有在安全有了保障的情况下，他们才有和我们合作的这种可能性，可见信息安全对于行业信息化的等于是说重要性。

还有就是大众市场信息服务的一个需要，近几年来就是我想在座的各位我们都知道的移动增值服务，也发展比较迅猛，向短信、彩信、炫铃都是很快地发展，而且近几年来手机音乐、手机报纸、手机电视，尤其是像手机钱包和手机购票等等就是增值业务，在很多的新兴领域都拓展了自己的业务，网络信息安全已经成为民众关心的话题和使用的这样业务门槛，你比如说是手机钱包和手机购票这种，其实对这样的新兴事物我觉得人们都非常关注，但是如果要让他使用的话，你首先要保证他的安全性，假如说我们手机钱包的话，就是和他个人的经济完全挂钩的，如果没有安全的话他怎么会使用，如果是手机购票的话，我们就要保证他用手机购的票它的准确性和唯一性和不可被复制性，所以这些都是我们大众市场对我们信息安全服务的一个需要。

还有一个就是抵御不法商业行为的需要，2007年是我们通信行业提出叫绿色网络文化建设年，为了有效地遏制一些有效信息和不法的商业行为，我们如何把事后的处罚、管理的手段，变为事前能够探测、过滤并且防护，那么我觉得网络信息安全的这个技术的保障，可以为这个管理的手段发挥到最大化，可能这个大家也感受比较深刻的，就是在从去年开始，各大媒体也都有对这种，一些不法的这种商业信息服务的，对我们用户的一些损害的一些报道。那么从以上可以看得出来，构建我们安全通信的网络是我们运营商必须要做好的一个基础工作，我们呢认为传统的电路型的语音通信网是一个相对比较封闭的网络，只要我们严加管理，应该是说我们可以认为它的安全等级还是比较高的，随着我们刚才说的移动数据业务的开通、应用以及普及，并且随着应用服务的种类越来越丰富，这部分的网络呢和外部的网络联系就会比较多，比如说和我们的公众的互联网，和我们的企业的这个VPN，并且和我们很多的这个信息服务提供商联系也越来越多，这势必就带来了系统安全性的问题。并且呢随着我们通信网络的演进，我们的这个通信网络会越来越开放，变成一个开放的系统。这些都需要我们构建一个非常安全的这个通信网络。

网络信息安全这是平时我们挂在嘴边的一句话，其实我个人的理解它实际上是分为一个网络安全、一个信息安全，那么这些都是网络安全和信息安全加在一起就才能够构成我们通常所说的网络信息安全，但这一些都是架构在我们必须有一个安全的通信网络的基础之上，所以我今天可能重点主要是关注于一个网络的安全。
那么既然我们刚才讲到了一个关注网络的这样的一个安全，就需要建立这样的一个相应的安全技术体系，在这个技术体系中间，其实包含了一个物理的安全，就是说它存放的位置、设备的问题，另外还有网络层的安全，主机的安全、数据库的安全和应用的安全，如果我们把这些所有的各个方面的安全都考虑好的话，我想可能会建设一个相对来说基本安全的这样的一个网络。

建设一个安全的基础体制，在这样的一个过程中间，实际上需要综合考虑的内容是非常多的，我们需要考虑的安全要素呢，主要包括一些安全策略，安全的评估和安全管理，这些都是在我们的日常工作中间必须贯穿始终的，而在技术层面呢，需要考虑的实体的物理安全，网络的基础结构、网络层的安全和操作系统的安全、应用的安全。这几个方面呢，既是一种防护的基础，也是相互促进，同时也是一个循序递进的工程，需要不断地完善和增强，才能形成一套合理有效的整体的安全防护系统。

那么我们看一看，实际上网络安全包含的内容实际上是非常多的，我相信我在这里列举的可能也不一定很完全，它包括网络结构的以及网络规划的IP规划，网络的访问控制、网络的安全审计，网络的入侵检测、恶意的代码防护，网络设备安全防护以及网络日志和审计，边界的完整性。其实每一个课题来说，它都是一个非常大的一块。那我们今天在这里和大家沟通和交流不可能把它全部交流掉，我就是在这里和大家交流一下我们日常工作当中具体的工作内容吧。

其实任何的网络都不可能时时刻刻保证100%的完好率，而我们作为通信运营商，我们是提供给用户全天24小时，全年24小时的无休的这样的服务，网络一定会有不可用时间，但是服务是不允许有中断的，在这种情况下呢，只有通过一个合理的网络结构的设计呢，才能够保证网络的这样的一个健壮型和我们整个对用户服务的一个完好率，虽然说设备不能可能等于说是100%的完好，但是我们要为用户提供的服务却是要求有100%的完好率。那么我们现在我们是通过什么样的一个方式呢？就是说所有的重要系统我们都有一个比较合理的网络结构作为保障，我们都是采用异地共用，就是多套系统，但是是属于异地共用负荷分担的方式，一旦某处的这个业务呢出现异常的话，其负责的业务可以在数秒之内，可以被其他部分自动接管。

另外一个就是网络划分和IP规划，这一个是任何一个网络，搭建初期都比较要规范的，就从安全的角度来看，在进行网络设计的时候，需要考虑有一个原则，这个原则就是不能因为系统中间的某一个环节的疏漏，而导致整个系统了潜在的安全性的威胁，那么我们就需要在做网络规划和设计的时候，必须把网络进行分割，把一个大的系统分割成多个相对独立的子系统，以实现各个子系统之间的整个的安全独立性，那他们等于说是把他们隔离起来。
我们具体的做法是，搭建一个整个的增值业务的这个网络平台，各个业务系统呢以MPLS SVPN的这种方式接入到我们的增值业务的网络，就是在这样的一个网络平台上面进行组网和隔离，在这样的平台上面我们也是依托于MPLS VPN实现了，不仅是构建起来比较简单，整个的实施过程比较简单，而且也是非常安全可靠的，我后面也有一个图，等于说是进行详细地说明一下子。

那么我们看看以前我们是怎么做的，以前我们可能会有，因为增值业务系统就会一个一个小的服务系统，比如说我们每一个服务系统有很多个服务系统，你都需要分别为他进行做一套整个安全的系统，这里面包括一些入侵检测、病毒防护、抗拒绝服务，你每一个都要为他建设一套。那么呢其实他对这个外部的接口然后也是你每一个系统都需要建设，然后你每一个系统都需要给它做防火墙什么之类的，整个的安全策略你要做上去。这个不仅等于是说对每一个系统来说实施是比较复杂的，实际上你对外部的接口来说它也是带来很大的负担，因为它接口也比较多嘛，你来一个系统他就要帮你接一套，对于我们包括公众的接口以及我们运营商后台的一些支撑系统来说，他们的压力也是非常大的。

那么我们经过我们的改造以后呢，我们现在就是这样子的，实际上我们是首先建设了一个，对于我们增值服务来说是一个大的这种MPLS VPN的这样一个网，每一个系统的接入只不过是作为一个接入系统直接接入就可以了，那么呢我们这样子会把原来针对每一个系统建设的一套安全体系呢变成一个统一的这样的一个安全体系架构，那么它对每一个系统来说，它都是可以为他们服务。

那么这样子其实也，安全也会有保障，另外对于投资各方面都会有好处。另外还有一个节省外部的这个公共接口，减轻了他们的等于说是一些负担。

那么再讲一下子就是我们刚才在提到的网络安全的另外一个方面，也是比较重要的一个方面就是网络访问控制，平时我们注意的这个网络访问控制，一般都会讲一些口令的管理，权限的管理，远程访问控制。那么为了提高我们网络整体的安全性和可管理性，并且把安全的技术和安全的管理呢统一到一个系统服务管理的高度，我们就是构建了一套机房的集中控制系统，我们是KVM系统，通过合理配置这个KVM设备呢，我们实现了机房设备的远程的集中监控，集中的口令管理和集中的权限管理。那么通常的做法大家都知道都是直接去访问这个设备的，要管理起来也是非常难的，你在各个系统上面为众多的用户访问去管理，其实是比较困难的。而且你要在短期内实施管理，就是说有一种比较紧急的情况出现的话，你这种管理可能是时效性非常长，不可能做得很迅速。那么通过我们这样子的一套机房的集中控制系统以后，我们会把机房中间的所有的设备，都集中管理到这个平台上面，我们做到统一的访问接入控制，统一的授权，统一的权限管理，并且呢还可以实现互动的同步监控，因为这套系统它主要就是用于什么呢？用于网络访问控制的，所以它对于所有的操作日志记录是非常全面的。那么这对我们的管理非常有好处，那么也实现了这个操作的透明和公示，可以针对一些关键性的技术操作，进行集体的这个监督和评价。平时的时候我们会基本上都是会到设备前面去操作，那么现在呢我们就会把设备和操作等于是说进行有效地分离，其实可能对于运营商来说，这也是比较重要的，可以对于机房的管理也可以有效地提高。那么这个是我们做的一套，等于是说机房的集中管理的一套系统，它分近端和远端的控制，多种方式统一结合起来，都可以实施的。

接着我们再来讲一下就是我们平时工作当中，用到的入侵检测、系统加固、漏洞扫描和抗拒绝服务，我统一地把它认为是我们的这种主动的防御措施。为了解决信息服务系统缺乏主动防御和响应的能力呢。对黑客的入侵和病毒的发作，无法监控的这种安全问题，我们其实是部署了这种入侵检测、抗拒绝服务，病毒防护等多套系统，并且呢我们会定期地进行漏洞扫描。扫描完了以后我们会采取系统的加固、安全定制等手段，对网络进行自主的、实时的防攻击检测量，并且随时地跟踪和响应对系统的非法入侵行为，在系统被破坏之前，主动地能够报警，从而实现对网络主动的、多层次的安全防御。增加网络安全保护的层次和深度。

由于防火墙的这样一个定位问题，一般它只能提供这样一些静态、被动的保护，不能防护来自这种开放端口的攻击，因此呢我们就必须建立动态的入侵检测体系，实现全方位的监控，而且对于监控的这个基本体系呢，就是说是应该是在你的公众互联网的接口，你的对于企业的这个连接上面，以及各个子系统之间，你都要部署。
那么这张呢是我们在实际工作当中大家可以看到的，就是我们对于公众的这个互联网，我们做的一些入侵的这个系统的部署。讲完了我们这个入侵检测呢，我们就讲一下我们的平时工作中间，我们的集中病毒防护系统是如何工作的。其实怎么说呢？现在增值业务系统都会比较多，因为外面的业务是层出不穷的，就是业务有了以后，必须需要我们有很多的服务要跟上去，那么系统多和复杂这也是必然的，那么并且呢涉及到系统之间的需要协调、互助的地方是非常多的。

那么如果病毒发作的话，那么它带来的危害和损失都是不可估量的，并且信息被破坏后再杀毒，也无法挽回已经造成的损失，所以我们对病毒的态度是防毒加杀毒的结合，以防为住，在病毒可能流传的各个渠道当中都进行病毒的控制和查杀的部署，根据对病毒攻击的发展趋势和特点的分析，我们构建了跨子网的集中病毒防护系统，以解决病毒的查杀，实时防护的问题，进而避免病毒对网络和对系统的这样的一个攻击。

那么如何能够让我们部署的这一套集中病毒防护系统能有效地发挥它的作用呢？首先我们需要制订这个有效的病毒防护的安全策略，这些策略呢就包括首先你要预防，还有传播隔离，防病毒软件的升级策略，在病毒爆发初期管理控制的策略，以及集中的清除策略，审计的策略和集中管理策略。那么在制订了这些策略的情况下，我们还制订了一些日常的你要执行的一些策略，就是带病毒的文件在任何一点被打开或者运行之前，必须至少经过一次的防病毒软件的查杀，病毒的防护需要在防毒的效果和对系统性能的影响之间做一个平衡。病毒软件不能通过互联网自动升级，必须到公司内指定的位置的文件服务器上面进行升级，并且指定专人负责升级。病毒库的更新，要通过网络集中升级，禁止本地升级。并且在实施中间我们要不断地进行防病毒软件的查杀毒策略的优化，完善合理的病毒查杀执行策略。

那么通过我们这一套集中病毒防护系统，我觉得我们还是收到了一定的实效，实现了集中的防病毒的管理，集中的防病毒查杀管理，并且实现了病毒的及时可控的升级，实现了策略控制的病毒库管理。降低了防病毒管理的难度，提高了病毒防护的效率和有效性，减少了系统中的病毒，并且降低了病毒大规模爆发的这样的一个风险。
随着我们这个集中病毒防护系统，就是在系统中使用的时间越来越久，它也提供了我们对于系统内病毒的一些趋势的分析，提高了我们对于系统病毒的这种预测和管理能力。

针对操作系统服务以及应用系统进行不断地修补，关闭不必要的一些服务和网络，细化用户的访问权限等，那么减少安全漏洞、增强主机的安全性，我们把这部分的工作我们叫做主机加固，主机加固包含的内容也非常多，在我们日常工作中间，包括操作系统的加固，网络和服务的加固，文件系统的加固，日志审核的增强，安全控件的加固以及应用的加固。

那么我们在进行主机加固的时候，我们有以下的原则，最小原则，这种最小的原则其实我上面是写的，是最小的服务和组件，其实他就是在我们最小的一个操作系统上面，然后再搭建我们必要的应用服务，并且我们是采用先关闭后开放的这样的一个原则，先关闭掉我们的所有的服务端口，然后再根据我们的应用需要再逐一打开，这是我们最小原则。

那么最少帐户这个原则呢就是进行严格的帐户管理，删除系统当中不必要的一些帐户和用户组，严格地控制增加、修改和删除系统中的帐号，最小权限大家也很好理解，主要就是尽可能地降低系统服务和帐号的权限，对操作系统提供权限的授予进行严格的限制，禁止不必要的帐户访问不需要的资源。还有一个专用的原则就是尽量避免用一台服务器实现多种服务。

那么通过主机加固这样子的日常的工作，一方面可以通过对操作系统的定制，对于只用于业务应用的这个主机按照最小化的原则和最安全的原则呢，有针对性地打上补丁，删除和关闭一些不必要的服务，提高系统本身的健壮性，也提高了系统本身的稳定性和对病毒和黑客攻击的抵御能力。增强了安全性，使许多的病毒和攻击对主机是失效的，另外一个方面通过我们日常的加固实施以后呢，也可以从技术上面加强了业务管理，一般权限的用户呢，只能他在使用主机的时候呢，只能对业务的应用进行操作，而无法对于其他的非业务操作，等于对他来说是不可见的。

另外呢就是说我们也限制了他使用特定功能的这样的一个主机工作，让他可以专心地工作，提高他的工作效率。那么进而也是提高了这个服务的质量，对于我们高级的管理员呢具有系统的修改和功能开放等所有的这个系统权限，在需要时可以根据要求，开放某些系统功能。实现灵活的应用处理，将管理的权限集中，提高了业务应用管理和弥补了人为管理中间制度的缺陷。同时呢也大大减少了病毒和黑客软件的入侵源，从根本上提高了整个系统的安全性。

那么通过这个主机加固大家都可以看得见的，我们有一系列的等于说是成效，刚才我也讲了一部分，其实差不多就是这些了，就是提高系统的健壮性和抗病毒攻击能力，减少网络存在的漏洞，提高性能。然后通过补丁的可用性的测试以及及时更新，提高了网络的可用性和安全性，就是等等就是这些吧，就是这些我们在主机加固方面的。

那么除了这个以外，其实我们在日常的工作中间，我们对于网络信息安全方面，我们也会做一些应急的处理，做应急处理的时候，其实我们的预案是做在前面的，我们就是说对于网络信息安全方面有一整套的一些应急预案，一些大的还有一些具体的像刚才我说的就是说，在我们这个胶片上面是写的，抗蠕虫病毒的这个应急预案，一些抗拒绝服务的应急预案，还有抗这个数据篡改的这种应急预案等等。

那么刚才我们都说的是技术手段，其实要做到一个系统的安全可靠的运营，除了通过在技术手段上面保障之外呢？实际上我们还需要建立一套行之有效的系统安全的运维管理体系，通过技术加管理的这样的一个手段呢，来全面地提高系统的安全级别，降低我们的运营的风险，我们平时在管理，就是在系统安全管理方面，我们所做的一些工作的内容呢，主要是包括一些应急事件的这个管理，还有网络变更的管理，告警的管理和防病毒管理，审计与检查的管理，以及我们对于这个人员的安全意识方面的以及安全技术方面的一些培训。我们是希望通过加强一系列的安全运维管理，使得我们技术的体制能够，就是更有效地最大化地发挥它们的这样的作用。

最后谢谢大家。